Académique Documents
Professionnel Documents
Culture Documents
Il est pris en compte dans l'élaboration de la stratégie ainsi que dans toutes les activités de l'organisation. Il est
conçu pour identifier les événements potentiels susceptibles d'affecter l'organisation et pour gérer les risques
dans les limites de son appétence pour le risque. Il vise à fournir une assurance raisonnable quant à l'atteinte des
objectifs de l'organisation."
Cette évolution du concept de management des risques, que l'on retrouve dans ISO 31000, s'applique également
au Management des Risques liés aux Système d'Information.
cartographie des risques d'entreprise : pour suivre la maîtrise des principaux risques de l'entreprise
cartographie des risques Sécurité de l'information : pour protéger les actifs du SI au regard des menaces qu'ils
encourent
cartographie des risques pour construction du plan d'audit : pour identifier l'exposition au risque et définir le
plan d'audit
cartographie des risques liés à la fonction des Systèmes d'Information : pour piloter les processus DSI et la
réussite des projts informatiquesdes projets informatiques
La gestion des risques liés à la sécurité de l'information doit permettre d’assurer la Disponibilité, l’Intégrité,
la Confidentialité des données de l’organisation v ainsi que la preuve et le contrôle.
Mais en creusant ces exmple, on peut définir la notion du risque lié à la sécurité de l'information suivant plusieurs
axes :
définition du risque basées sur la notion de menace sur un actif associée à des vulnérabilités : vision assez
statique d'un risque (par exemple :
o panne d'un serveur lié à un défaut de maintenance (et qui va engendrer un arrêt des activités métiers qui été liés
au fonctionnement de ce serveur)
définition du risque basées sur des scénarios d'incidents : ce sont des « situations de risque » décrivant à la fois
le dommage subi et les circonstances dans lesquelles se produit ce dommage. On privilégie ici sur une vision
dynamique des risques dans laquelle le temps peut être pris en compte, permettant de prévoir des actions
différenciées en fonction des phases de scénario de risque.
o Indisponibilité temporaire accidentelle de système hôte de services applicatifs, due à un manque d'alimentation
en énergie (défaut externe)